Logo biura

Infolinia Urzędu 606-950-000

Infolinia Urzędu 606-950-000

Czy kilku administratorów może mieć jedną dokumentację ochrony danych osobowych?

Czy administratorzy funkcjonujący w ramach tej samej jednostki mogą opracować wspólną dokumentację ochrony danych osobowych?

Istnienie w strukturach, np. urzędu gminy czy starostwa, więcej niż jednego podmiotu będącego odrębnym administratorem, nie musi oznaczać konieczności stworzenia procedur i polityk ochrony danych osobowych w odrębnych dokumentach dla każdego z administratorów. Jedna dokumentacja może bowiem regulować kwestie ochrony danych dotyczące administratorów istniejących w ramach tej samej jednostki. Przy czym kwestię tę, w kontekście prowadzonego przetwarzania, należy starannie przemyśleć oraz zapewnić to, by z dokumentacji jasno wynikało, jakich administratorów i danych, za które oni odpowiadają, dokumentacja ta dotyczy.

Artykuł 24 RODO nakłada na administratora obowiązek wdrożenia odpowiednich środków technicznych i organizacyjnych, zapewniających zgodność przetwarzania z wymogami tego rozporządzenia. Zgodnie z ust. 2 tego artykułu – jeżeli jest to proporcjonalne w stosunku do czynności przetwarzania – powyższe środki powinny obejmować wdrożenie przez administratora odpowiednich polityk ochrony danych. W przepisach rozporządzenia nie przewidziano szczegółowych wymogów dotyczących zarówno zakresu merytorycznego, jak i formy polityk ochrony danych. W świetle zasady rozliczalności do administratora należy decyzja, w jaki sposób skonstruuje funkcjonujący u siebie system ochrony danych osobowych, przy czym system ten powinien dotyczyć całości procesów przetwarzania prowadzonych u danego administratora i realnie wpływać na prawidłowość, bezpieczeństwo oraz przejrzystość przetwarzania.

W przypadku podmiotów publicznych charakter, zakres, kontekst i cele prowadzonego przez nie przetwarzania wskazują na obowiązek wdrożenia odpowiednich polityk ochrony danych osobowych. Warto również zwrócić uwagę, że art. 24 ust. 2 RODO mówi o politykach ochrony danych osobowych, tak więc może to być nie jeden dokument, a zespół kilku dokumentów (polityk tematycznych) obejmujących wszelkie informacje o stosowanych środkach i procedurach związanych z ochroną danych osobowych. W odniesieniu do poszczególnych elementów tej dokumentacji należy również przemyśleć, jakie kategorie osób zatrudnionych w jednostce organizacyjnej muszą się z nimi zapoznać i stosować w związku z wykonywanymi przez siebie zadaniami.

Zdarzyć się też mogą sytuacje, w których poszczególni administratorzy funkcjonujący w ramach jednej jednostki organizacyjnej podlegać będą jednocześnie również innym niż RODO regulacjom dotyczącym ochrony danych osobowych, np. ustawie z dnia 14 grudnia 2018 r. o ochronie danych osobowych przetwarzanych w związku z zapobieganiem i zwalczaniem przestępczości. Regulacje te mogą przewidywać specyficzne rozwiązania dotyczące prowadzenia dokumentacji ochrony danych, które również powinny być uwzględnione przez administratorów w prowadzonej dokumentacji. Więcej informacji na ten temat znaleźć można w odpowiedzi na pytanie „Czy komendant straży miejskiej musi posiadać odrębną politykę ochrony danych?”.

Reasumując, administratorzy funkcjonujący w ramach tej samej jednostki, biorąc pod uwagę strukturę i realizowane przez nich zadania, powinni dokonać oceny co do odpowiedniego w ich przypadku sposobu prowadzenia dokumentacji ochrony danych osobowych. W sytuacji, gdy nie będzie możliwości objęcia jednym dokumentem procesów i procedur funkcjonujących u różnych administratorów, stworzenie odrębnego dokumentu może ułatwić tym administratorom przestrzeganie zasad ochrony danych i obowiązków określonych w różnych przepisach o ochronie danych osobowych. Każdy z administratorów – niezależnie od tego, czy będzie to wspólny dokument czy odrębne polityki - musi być bowiem w stanie wykazać, że wywiązał się ze wszystkich ciążących na nim obowiązków wynikających z przepisów o ochronie danych osobowych.

2020-11-26 Metadane artykułu
Podmiot udostępniający: Departament Orzecznictwa i Legislacji
Wytworzył informację: Monika Młotkiewicz 2020-11-26
Wprowadził‚ informację: Edyta Madziar 2020-11-26 12:11:33
Ostatnio modyfikował: Edyta Madziar 2020-11-26 12:23:50